Sicurezza

Lo scenario della minaccia prima di WannaCry: il Global Threat Intelligence Report 2017

Non solo WannaCry e non solo ransomware. La fotografia delle minacce informatiche dell’ultimo Global Threat Intelligent Report di NTT group evidenzia rischi diversificati, l’acuirsi del phishing e una attenzione crescente e mirata al settore finanziario.

La campagna Ransomware WannaCry, che ha tenuto in scacco oltre 160 paesi e oltre 200 mila entità pubbliche e private contagiate nei propri sistemi Windows, non sembra arrestarsi, anche se ha subito un significativo rallentamento grazie all’involontaria attivazione del “kill switch” del ricercatore Matt Suiche alias MalwareTech, per poi riprendere i contagi attraverso varianti del malware deprivate del meccanismo di stop. Per più di un esperto tutto ciò non sarebbe avvenuto se l’NSA non avesse celato vulnerabilità e software in grado sfruttarle, ma attualmente l’attenzione mondiale è rivolta alla ricerca del “paziente zero” per determinare un’attribuzione maggiormente certa rispetto alle ipotesi di coinvolgimento della Corea del Nord.

Lo scenario globale: chi è più sottoposto ad attacchi

A causa dell’evento di scala mondiale il tema della sicurezza informatica, ha subito un picco di attenzione ma bisogna riconoscere che fino a poco prima, lo scenario globale della minaccia non era assolutamente calmo e privo di pericoli. Ne è una prova l’ultima fotografia svolta dal gruppo NTT e divulgata nel Global Threat Intelligent Report 2017 sul periodo di riferimento ottobre 2015-settembre 2016, che osserva gli incidenti, eventi e vulnerabilità di sicurezza nella propria rete, uniti ai risultati dei ricercatori e ai dati acquisiti da Honeypots e sandbox situati in oltre 100 paesi diversi in ambienti indipendenti dalle infrastrutture istituzionali. La capacita’ di analisi del gruppo si staglia su circa il 40% del traffico internet a livello mondiale e riassume i dati da oltre 3,5 trilioni di log e 6,2 miliardi di attacchi.

Su scala globale, gli elementi di principale attenzione riguardano, il settore Finance il più soggetto agli attacchi in tutte le sei regioni geografiche analizzate, mentre il Manufacturing è il secondo settore più attaccato in cinque delle sei regioni esaminate. Nel report 2016 (periodo2014/2015) invece, il principale obiettivo era stato l’ambito del Retail seguito dai settori turistici e di intrattenimento. Nel periodo osservato, 2015/2016 e dunque ben prima del “Wannacry Event”, gli attacchi ransomware hanno pesato per il 77% degli attacchi colpendo in particolar modo i settori dei servizi professionali (28%), della Pubblica Amministrazione (19%), della Sanità (15%), e del Retail (15%).

La distribuzione del rischio

Il 73% di tutti i malware inviati ad aziende ed organizzazioni sono stati tentativi di phishing. Rispetto alle risposte agli incidenti il ransomware ha riguardato il 22% dei casi esaminati costituendo il 50% degli incidenti nel settore sanitario del mondo. Proprio la sanità è stata il target principale fra i 4 settori maggiormente colpiti da eventi di incidente. Infatti sul 59% di tutti gli incidenti nel mondo, la rilevanza maggiore si è verificata in ambito sanitario per il 17%, seguita dalla finanza con il 16%, dai servizi professionali al 14% e dal retail al 12%. Gli exploit kit hanno subito un declino su base annuale dato che è stata registrata una incidenza del 13% che ha interessato solo il terzo trimestre del 2016. Gli attacchi Denial of Service Distribuiti (DDoS) hanno invece rappresentato meno del 6 % di tutti gli attacchi, su base mondiale.

Il focus dell’area EMEA stabilisce invece una diversa distribuzione del 54% degli attacchi: Finance per il 20%, Manufacturing e Retail con il 17% ciascuno. Al phishing resta il primato di vettore primario di attacco arrivando al 60% dei tentativi di intrusione ma naturalmente rappresenta anche il sintomo dell’acuirsi delle tecniche di social engineering con cui i malintenzionati raccolgono informazioni per penetrare all’interno delle organizzazioni aziendali e possibilmente effettuare sottrazione di dati sensibili finalizzati al furto di identità o di Data Leakage aziendali per richieste di riscatto o concorrenza sleale fino alle aste sul mercato nero digitale (DarkNets). I trojan sono tipologie di malware funzionali a questi obiettivi criminali ed infatti rappresentano il 67% del totale di quelli identificati, ma comunque si tratta di un dato inferiore al 93% dell’incidenza di questo malware rispetto al territorio australiano dove rappresentano una vera piaga.

 

Come gestire la minaccia

 

Il report suggerisce infine per le aziende, alcuni principi d’azione in favore della risilienza dell’organizzazione, che dovrebbero costituire la strategia di contrasto alle minacce cyber:

  1. La sicurezza deve essere considerata un requisito di supporto al core business aziendale e non un add-on. Infatti, le informazioni sensibili del business possono essere salvaguardate mediante l’implementazione di opportune misure di strategie di sicurezza. Ma in generale l’alto management deve comprendere l’urgenza ed essenzialità degli impatti e danni che possono essere causati dalle minacce informatiche e istituire un commitment prioritario, all’adozione di contromisure organizzative, procedurali e tecnologiche.
  2. Non solo tecnologia: con i rapidi cambiamenti delle minacce informatiche è importante che persone e processi siano sensibilizzati alla sicurezza e compensino eventuali obsolescenze tecnologiche. Inoltre ogni dipendente, manager ed executive è potenzialmente sotto attacco di compagne di spear-phishing e diventa quindi un attore importante nella gestione della cybersecurity.
  3. Gli utenti dovrebbero essere supportati dalla sicurezza: ovvero gli utenti dovrebbero poter distinguere ciò che è malevolo da ciò che non lo è mediante strumenti specifici di sicurezza.
  4. Tenere tutti i dispositivi aggiornati. Molti attacchi hanno successo per il mancato aggiornamento e delle patch più recenti sul dispositivo vittima.
  5. Formare e informare rispetto al rischio del phishing che avviene tramite mail, ma anche mediante il telefono o con altri mezzi subdoli. E’ necessario favorire un cambiamento culturale mirato alla capacità del singolo di non clickare su link o allegati di dubbia natura o almeno di porsi sempre domande ed effettuare verifiche.
  6. Utilizzare password di tipo forte per ogni diverso account, per rendere la vita difficile ai malintenzionati che vogliono impossessarsene. Si possono usare diverse tecniche di generazione password o strumenti automatizzati di tipo password-manager che non richiedono sforzi mnemonici.

 

Certamente queste poche regole non costituiscono un programma di sicurezza esaustivo, ma ne formano una solida base. L’importante è realizzare un approccio consapevole, adeguato al contesto operativo e ritagliato sulla realtà aziendale, perché non esiste una soluzione unica per tutti, ma ognuno deve sapere,  capire e scegliere quel che rappresenta la soluzione di sicurezza più appropriata per la propria realtà.

 

 

 

Ti potrebbe interessare anche

Dal caso WannaCry alla direttiva NIS, le infrastrutture critiche sono ancora troppo vulnerabili

Secondo il rapporto dell’ICS CERT statunitense nel 2015 si è verificato un aumento (+74%) del numero di vulnerabilità nei sistemi di controllo industriale. Ecco l’occasione per ripensare il concetto di cyber security

Dopo WannaCry, l’attacco viene dai sottotitoli dei film in streaming. L’analisi di Check Point

L’azienda specializzata in prodotti relativi alla sicurezza, ha scoperto un nuovo vettore di attacco informatico. Ecco di che si tratta

“Voglia di piangere”. L’attacco ransomware globale che secondo Snowden non sarebbe dovuto avvenire.

Snowden attacca: “A dispetto degli avvertimenti, la NSA ha costruito pericolosissimi strumenti d’attacco in grado di colpire software occidentale. E oggi ne paghiamo i costi”

Galaxy Note 8, tutte le notizie prima del lancio

Dopo la sfortunata storia del Note 7, quest’anno Samsung spera di bissare il successo del Galaxy S8. Con un terminale munito di pennino e accessori omaggio per chi prenota subito

Il motore di ricerca della moda cresce e aggiunge altre città | Papèm

La startup, guidata da Alberto Lo Bue e Carlo Alberto Lipari, dopo aver ricevuto il premio Endeavor ai MYllennium awards, ha annunciato che l’espansione non si fermerà fino a quando Papèm non sarà presente in ogni angolo di tutte le città

Android 8.0, nome in codice: Oreo

Rispettata la tradizione dei dolcetti anche nella nuova release del sistema operativo mobile di Google. Che porta in dote novità per velocità e sicurezza

Zooppa lancia il primo contest per video VR a 360°. Ecco come partecipare

C’è tempo fino al 16 ottobre, saranno selezionati i migliori video promozionali o di storytelling girati con tecnologia 360° e della durata massima di 120 secondi
Garmin è partner tecnologico dell’iniziativa e mette in palio 5 Camere VIRB 360

DevSecOps: lo sviluppo software agile attento alla sicurezza

Sviluppatori, esperti di sicurezza, reparto IT: tutti devono collaborare per creare software davvero sicuro. Un concetto che si concretizza nel DevSecOps, un modo moderno e veloce per arrivare dall’idea alla produzione senza correre rischi